Đã có gần 2 tỷ USD giá trị tài sản crypto bị thiệt hại do tin tặc khai thác từ đầu năm 2022 và có khả năng vượt quá năm 2021.
Tin tặc đã khai thác một lỗi phần mềm trong nền tảng âm nhạc Web3 Audius để kiếm được 1.1 triệu USD hôm 23/7, đây là số tiền nhỏ trong tổng thiệt hại gần 2 tỷ USD do các vụ hack trong nửa đầu năm 2022.
Theo công ty bảo mật crypto Chainalysis, giá trị tiền pháp định của các tài sản bị tấn công đang trên đà chạm đến con số 3,2 tỷ USD của năm 2021, ngay cả trong bối cảnh thị trường crpyto suy thoái.
Dưới đây là một số vụ hack crypto lớn nhất từ đầu năm để xem điều gì đã xảy ra và các giao thức đã hoạt động như thế nào sau khi bị tấn công.
1. Crypto.com, ngày 17/1, thiệt hại 35 triệu USD
Vào cuối tháng 1, một tin tặc đã tìm cách vô hiệu hóa xác thực hai yếu tố trên sàn giao dịch crypto Crypto.com và khai thác bitcoin và ether từ tài khoản khách hàng. Giám đốc điều hành Kris Marszalek ban đầu phủ nhận tiền của khách hàng đã bị mất trước khi thừa nhận vụ hack vài ngày sau đó. Công ty cho biết họ đang chuyển sang “xác thực đa yếu tố” để đáp ứng với việc khai thác.
2. Qubit QBridge Hack, ngày 27/1, thiệt hại 80 triệu USD
Một tin tặc đã thao túng một lỗi hợp đồng thông minh trên QBridge của Qubit Finance có trụ sở tại Binance để đúc các wrapped token ether mà không cần gửi tiền. Các tài sản bị đánh cắp buộc các nhà phát triển đằng sau Qubit phải cắt giảm nhân viên của giao thức và phân loại lại thành một tổ chức tự trị phi tập trung (DAO).
3. Wornhole, ngày 2/2, thiệt hại 325 triệu USD
Một tin tặc đã khai thác các hợp đồng thông minh trên cầu Solana-to-Ethereum để đúc và rút tiền từ wrapped ether mà không cần gửi tài sản thế chấp. Jump Crypto, công ty đầu tư mạo hiểm đứng sau Wormhole, đã cung cấp thêm thanh khoản để giữ cho các nền tảng trên Solana không bị ảnh hưởng bởi việc thanh lý tài sản. Sau đó, Wormhole đã đổi tên cầu nối của họ thành cầu nối Portal và hiện đang nắm giữ hơn 480 triệu USD, theo công ty dữ liệu tiền điện tử DeFi Llama.
4. IRA Financial Trust, ngày 8/2, thiệt hại 37 triệu USD
Nền tảng hưu trí và lương hưu tập trung vào crypto đã bị đánh cắp khi tin tặc truy cập vào một “khóa chính” đã bỏ qua tất cả các biện pháp bảo mật đối với tài khoản của khách hàng. IRA Financial Trust kể từ đó đã kiện Gemini, sàn giao dịch crypto nơi lưu trữ tiền của khách hàng, vì cáo buộc sơ suất dẫn đến vụ hack.
5. Cashio, ngày 22/3, thiệt hại 52 triệu USD
Một chuỗi các tài khoản giả mạo đã tận dụng “lỗ hỏngx tính năng đúc vô hạn” để đưa ra tài sản thế chấp vô giá trị cho stablecoin CASH của Cashio. Chốt của đồng tiền này đã lao về 0 và không phục hồi, theo dữ liệu từ CoinGecko.
6. Axie Infinity Ronin Bridege, ngày 28/3, thiệt hại 625 triệu USD
Vụ hack crypto lớn nhất từ trước đến nay được tính theo USD xảy ra sau khi tin tặc giành được quyền kiểm soát phần lớn các khóa mật mã đảm bảo cầu nối chuỗi chéo. Bốn trong số chín chìa khóa đã bị đánh cắp khi một nhà phát triển Axie nhấp vào pdf lời mời làm việc giả mạo, theo The Block. Cầu Ronin kể từ đó đã mở cửa trở lại với nhiều trình xác thực hơn, mặc dù trò chơi này đang sụt giảm người dùng.
7. Beanstalk, ngày 17/4, thiệt hại 182 triệu USD
Một tin tặc đã sử dụng thủ thuật “flashloan”, trong đó tiền được vay và hoàn trả trong cùng một giao dịch, để tích lũy đủ tài sản nhằm kiểm soát giao thức quản trị của stablecoin. Tin tặc đã chuyển một đề xuất quyên góp tiền cho Ukraine trước khi thực hiện với tài sản thế chấp. Các nhà phát triển đã tạm dừng giao thức trong khi trải qua kiểm toán và gây quỹ, nhưng có kế hoạch mở lại tiền gửi vào đầu tháng 8.
8. Fei Protocol, ngày 30/4, thiệt hại 80 triệu USD
Một lỗi “nhập lại” trong mã của giao thức cho vay đã cho phép tin tặc vay tiền đồng thời rút tài sản thế chấp đưa vào khoản vay. Người dùng Fei đã thông qua một đề xuất để làm cho các nhà đầu tư toàn bộ thông qua “DAO trả nợ xấu thay mặt cho tin tặc.” Stablecoin Fei hiện vẫn ở mức chốt USD, theo CoinGecko.
9. Harmony Bridge, ngày 23/6, thiệt hại 100 triệu USD
Nhóm Lazarus có liên quan đến Triều Tiên đã truy cập vào hai trong số năm khóa bảo mật của cầu Binance và Ethereum, phê duyệt các giao dịch chuyển tài sản từ cây cầu. Harmony hiện yêu cầu bốn trong số năm khóa trình xác thực để đạt được sự đồng thuận về các giao dịch và vẫn chưa công bố kế hoạch bồi thường cho người dùng.
Nguồn: BlockWorks